freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

防火墻的核心技術(shù)(已修改)

2025-10-29 22:08 本頁面
 

【正文】 第一篇:防火墻的核心技術(shù)無論防火墻在網(wǎng)絡(luò)中如何部署,也無論防火墻性能差異如何巨大,縱觀防火墻發(fā)展的歷史,其核心技術(shù)都經(jīng)歷了包過濾、應(yīng)用代理和狀態(tài)監(jiān)測三個階段。不同廠商的核心技術(shù)在其基礎(chǔ)上進(jìn)行改革,正是這些改革,導(dǎo)致了防火墻產(chǎn)品在健壯性、可靠性、性能,甚至價格方面的巨大差異。簡單包過濾防火墻簡單包過濾技術(shù)對網(wǎng)絡(luò)層和傳輸層協(xié)議進(jìn)行保護,對進(jìn)出網(wǎng)絡(luò)的單個包進(jìn)行檢查,具有性能較好和對應(yīng)用透明的優(yōu)點,目前絕大多數(shù)路由器都提供這種功能。但是,由于它不能跟蹤TCP狀態(tài),所以對TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時,一些以TCP應(yīng)答包的形式從外部對內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。因此,它是一種淘汰技術(shù),從1999年開始,主流防火墻產(chǎn)品中已經(jīng)很少使用該技術(shù)。據(jù)悉,美國國防部已經(jīng)明令禁止在其國防網(wǎng)內(nèi)使用這種產(chǎn)品。遺憾的是,我國還有大量的防火墻采用這種技術(shù)。筆者建議,在一些重要領(lǐng)域和行業(yè),不要使用這種體系架構(gòu)的防火墻。應(yīng)用代理防火墻應(yīng)用代理防火墻也可稱之為應(yīng)用網(wǎng)關(guān)防火墻。應(yīng)用代理的原理是徹底隔斷通信兩端的直接通信,所有通信都必須經(jīng)應(yīng)用層代理層轉(zhuǎn)發(fā),訪問者任何時候都不能與服務(wù)器建立直接的TCP連接,應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。斷掉所有的連接,由防火墻重新建立連接,可以使應(yīng)用代理防火墻具有極高的安全性。但是,這種高安全性是以犧牲性能和對應(yīng)用的透明性為代價的。它不能支持大規(guī)模的并發(fā)連接,在對速度敏感的行業(yè)使用這類防火墻時簡直是災(zāi)難。另外,防火墻核心要求預(yù)先內(nèi)置一些已知應(yīng)用程序的代理,使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無情地阻斷,不能很好地支持新應(yīng)用。在IT領(lǐng)域中,新應(yīng)用、新技術(shù)、新協(xié)議層出不窮,代理防火墻很難適應(yīng)這種局面。因此,在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中,代理防火墻正被逐漸疏遠(yuǎn)。但是,自適應(yīng)代理技術(shù)的出現(xiàn)讓應(yīng)用代理防火墻技術(shù)出現(xiàn)了新的轉(zhuǎn)機,它結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點,在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。目前,應(yīng)用代理防火墻依然有很大的市場空間,仍然是主流的防火墻之一。尤其在那些應(yīng)用比較單一(如僅僅訪問站點等)、對性能要求不高的中小企業(yè)內(nèi)部網(wǎng)中,具有實用價值。狀態(tài)監(jiān)測防火墻Check Point公司推出的新一代防火墻核心架構(gòu)——狀態(tài)監(jiān)測防火墻,目前已經(jīng)成為防火墻的標(biāo)準(zhǔn)。這種防火墻在包過濾防火墻的架構(gòu)之上進(jìn)行了改進(jìn),它摒棄了包過濾防火墻僅考查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,而不關(guān)心數(shù)據(jù)包狀態(tài)的缺點,在防火墻的核心部分建立狀態(tài)連接表,并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的會話,利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表,更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài),因此提供了完整的對傳輸層的控制能力。狀態(tài)監(jiān)測技術(shù)還采用了一系列優(yōu)化技術(shù),使防火墻性能大幅度提升,能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中,尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。因此,它是目前最流行的防火墻技術(shù)。目前,業(yè)界很多優(yōu)秀的防火墻產(chǎn)品都采用了狀態(tài)監(jiān)測體系結(jié)構(gòu),如Cisco的PIX防火墻、NetScreen防火墻等。從2000年開始,國內(nèi)的許多防火墻公司,如東軟、天融信等公司,都開始采用這一最新的體系架構(gòu)。摘自《計算機世界》2002/10/7網(wǎng)絡(luò)通信 如何鑒別防火墻功能差異有一些問題常令用戶困惑:在產(chǎn)品的功能上,各個廠商的描述十分雷同,一些“后起之秀”與知名品牌極其相似。面對這種情況,該如何鑒別?描述得十分類似的產(chǎn)品,即使是同一個功能,在具體實現(xiàn)上、在可用性和易用性上,個體差異地十分明顯。一、網(wǎng)絡(luò)層的訪問控制所有防火墻都必須具備此項功能,否則就不能稱其為防火墻。當(dāng)然,大多數(shù)的路由器也可以通過自身的ACL來實現(xiàn)此功能。1.規(guī)則編輯對網(wǎng)絡(luò)層的訪問控制主要表現(xiàn)在防火墻的規(guī)則編輯上,我們一定要考察:對網(wǎng)絡(luò)層的訪問控制是否可以通過規(guī)則表現(xiàn)出來?訪問控制的粒度是否足夠細(xì)?同樣一條規(guī)則,是否提供了不同時間段的控制手段?規(guī)則配置是否提供了友善的界面?是否可以很容易地體現(xiàn)網(wǎng)管的安全意志? 2.IP/MAC地址綁定同樣是IP/MAC地址綁定功能,有一些細(xì)節(jié)必須考察,如防火墻能否實現(xiàn)IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規(guī)則的訪問是否提供相應(yīng)的報警機制?因為這些功能非常實用,如果防火墻不能提供IP地址和MAC地址的自動搜集,網(wǎng)管可能被迫采取其他的手段獲得所管轄用戶的IP與MAC地址,這將是一件非常乏味的工作。NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)這一原本路由器具備的功能已逐漸演變成防火墻的標(biāo)準(zhǔn)功能之一。但對此一項功能,各廠家實現(xiàn)的差異非常大,許多廠家實現(xiàn)NAT功能存在很大的問題:難于配置和使用,這將會給網(wǎng)管員帶來巨大的麻煩。我們必須學(xué)習(xí)NAT的工作原理,提高自身的網(wǎng)絡(luò)知識水平,通過分析比較,找到一種在NAT配置和使用上簡單處理的防火墻。二、應(yīng)用層的訪問控制這一功能是各個防火墻廠商的實力比拼點,也是最出彩的地方。因為很多基于免費操作系統(tǒng)實現(xiàn)的防火墻雖然可以具備狀態(tài)監(jiān)測模塊(因為Linux、FreeBSD等的內(nèi)核模塊已經(jīng)支持狀態(tài)監(jiān)測),但是對應(yīng)用層的控制卻無法實現(xiàn)“拿來主義”,需要實實在在的編程。對應(yīng)用層的控制上,在選擇防火墻時可以考察以下幾點。1. 是否
點擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
公安備案圖鄂ICP備17016276號-1